Функции безопасности других продуктов Lotus
Настройка SSL
Как уже неоднократно говорилось в этом курсе, протокол SSL (Secure Sockets Layer) обеспечивает защищенное соединение между клиентом и сервером. При включении SSL в целях безопасности осуществляется шифрование передачи данных. В этом разделе описываются общие задачи, необходимые для настройки SSL на сервере портала. Некоторые из этих задач выполняются для сервера WebSphere Application Server и Web-сервера. Ниже кратко описывается последовательность действий; более подробное описание действий см. в соответствующей документации по продукту. Здесь подробно описываются действия, относящиеся к WebSphere Portal. После выполнения этих действий выполняется шифрование всех запросов начиная со входа в портал.
Во-первых, необходимо настроить Web-сервер на поддержку HTTPS. Если это выполняется в рабочей среде, требуется получить сертификат от центра сертификации (Certificate Authority, CA). В целях тестирования можно использовать IKEYMAN для генерирования самоподписанного сертификата.
В конфигурациях, где Web-сервер и сервер портала находятся на разных компьютерах, запросы, поступающие на Web-сервер, необходимо перенаправлять на сервер приложений. При таких обстоятельствах необходимо также настроить SSL между Web-сервером и сервером приложений для обеспечения более высокого уровня безопасности. Это требует создания дополнительного файла ключей для подключаемого модуля Web-сервера и еще одного файла ключей, с использованием ikeyman, для встроенного HTTPD в WebSphere Application Server.
Полный набор инструкций по этой операции см. в главе "Настройка SSL между Web-сервером и WebSphere Application Server" в книге IBM WebSphere V4.0 Advanced Edition Security, SG24-6520.
12.5.3 Изменение паролей
Пароли обеспечивают дополнительный уровень безопасности в среде портала. Все заданные по умолчанию пароли, принимаемые во время установки, необходимо сразу же изменить для обеспечения безопасности.
При употреблении диспетчера установки (Setup Manager) для создания пользователей (таких, как администратор базы данных DB2) для идентификаторов этих пользователей устанавливается срок действия паролей, равный 42 дням. После завершения установки пароли следует изменить.
Во время установки диспетчер установки позволяет выбрать идентификатор пользователя и пароль для администратора портала. Если установленные по умолчанию идентификатор и пароль администратора портала, назначенные диспетчером установки, принимаются, важно изменить пароли wpsbind и wpsadmin в консоли администрирования, чтобы не допустить несанкционированного доступа к WebSphere Portal Server.
12.5.4 Защита информации об установке и конфигурации
Важно защитить файл install.log и содержимое каталога wps_root/install. Во время установки WebSphere Portal Server шифрует административные пароли базы данных и LDAP и сохраняет их в следующем XML-файле:
AppServer_home/lib/app/xml/wms.xml
Здесь AppServer_home – путь к Application Server. При изменении пароля базы данных или LDAP после установки необходимо изменить пароль Member Services, чтобы можно было продолжать осуществлять доступ к пользовательскому реестру. Также необходимо сгенерировать зашифрованный пароль и заменить зашифрованные пароли в was_root/lib/app/xml/wms.xml.
12.5.5 Службы Member Services
Службы Member Services являются компонентом WebSphere Portal Server, осуществляющим управление данными пользователей и групп пользователей. Они ведут учет полного набора атрибутов пользователей и групп в системе и значений этих атрибутов для отдельных пользователей и групп. Службы Member Services не назначают определенные роли участникам. Участники могут принимать различные роли в зависимости от операций, в которых они собираются участвовать. Службы Member Services позволяют осуществлять назначение пользователей в группы доступа, как типичных, так и зарегистрированных, с определенными разрешениями управления доступом. Службы Member Services также позволяют создавать и применять группы участников для определения того, какое содержимое можно выводить пользователям.
Со службами Member Services связаны следующие возможности:
- Управление профилями (Profile management). Администратор осуществляет управление профилями и данными пользователей, применяя портлет Manage Users.
- Хранилище пользователей (User repository). Хранилище пользователей представляет собой набор данных профилей пользователей, групп пользователей и организационных сущностей. Зарегистрированный пользователь может выбрать идентификатор и пароль пользователя. Данные в реестре можно сконфигурировать для хранения в базе данных или на сервере каталога. Подробные сведения см. в документации по продукту WebSphere Portal Server.
- Участие в группах (Group membership). Службы Member Services осуществляют управление участием в группах для пользователей в Portal Server. Участие в группе может применяться при принятии решений по управлению доступом или другими функциональными возможностями портала.
Типы участников
Службы Member Services поддерживают два типа участников:
- Типичные пользователи. Типичными пользователями являются пользователи, взаимодействующие с сайтом, чьи функции не требуют их уникальной идентификации в системе. Например, на сайте, связанном с торговлей, может быть много покупателей, которые могут просмотреть каталог продукции, не регистрируясь, ничего не покупая и ничего не помещая в свои виртуальные тележки для покупок. Системе не требуется уникально идентифицировать таких пользователей, поэтому все эти пользователи могут применять в системе общие идентификационные данные типичного пользователя (generic user). Эта категория участников позволяет сэкономить системные ресурсы.
- Зарегистрированные пользователи. После регистрации в системе пользователь становится зарегистрированным пользователем. Зарегистрированный пользователь имеет идентификатор пользователя и пароль, сохраненный в реестре пользователя. Система может также запросить у зарегистрированного пользователя информацию профиля. Для зарегистрированных пользователей можно осуществлять сохранение предпочтений, поэтому они могут закрывать свои сеансы браузера, и после возвращения на сайт они увидят, что Portal Server имеет те же предпочтения и настройки, что и раньше.
Группы участников
Группа участников представляет собой произвольный набор участников, который обычно состоит из пользователей, имеющих общий интерес или представляющих назначенные роли. Для создания групп можно применять портлет Manage Groups.
Можно явным образом назначать или отменять назначение пользователей и групп участников другой группе участников. Также поддерживается вложение групп участников. Пользовательский реестр (либо LDAP-каталог, либо база данных, в зависимости от конфигурации, выбранной при установке) содержит данные группы участников. Службы Member Services требуют применения соответствующего LDAP-сервера или базы данных при поиске информации об участии в группе участников.
Хранилище пользователей
Хранилище пользователей представляет собой хранилище данных, содержащее данные профилей участников, не включая данные аутентификации, и группы, не входящие в реестр. Основной профиль пользователя включает регистрационную информацию, адрес, историю покупок и прочие атрибуты, в частности интересующие темы новостей, цветовые предпочтения и т. д. Атрибуты в профиле могут иметь несколько значений, которые легко устанавливаются и извлекаются.
Например, профиль сотрудника может также содержать номер сотрудника, название должности и ссылку на бизнес-организацию, к которой относится пользователь. Можно инициировать основные операции поиска на основе значений атрибутов.
Обычно в качестве хранилища пользователей применяется база данных или сервер каталога. Также можно определять собственные варианты. Данные профилей обычно хранятся в таблицах базы данных WebSphere Portal Server. При использовании LDAP-каталога в качестве хранилища данные профилей сначала сохраняются на сервере каталога с использованием стандартных объектных классов. В зависимости от конфигурации в базе данных можно сохранять данные профилей, представляющие надмножество объектных классов LDAP.
Аутентификация
Службы Member Services должны осуществлять доступ к информации об аутентификации пользователя и о группе реестра из компонента Authentication. Реестром аутентификации называется хранилище данных для данных аутентификации пользователя и групп реестра. Информация о группах, применяемая для настройки авторизации, считается привилегированной информацией, а под группами подразумеваются группы реестра.
Обычно в качестве реестра аутентификации используется LDAP-каталог или база данных. Однако реестр аутентификации может представлять собой специальное хранилище данных, неизвестное службам Member Services. Службы Member Services не поддерживают применение локальной операционной системы в качестве реестра аутентификации. Реестр аутентификации определяется в WebSphere Portal Server во время установки и записывается в следующий XML-файл:
<was_root>/lib/app/wms.xml
WebSphere Portal Server всегда использует WebSphere Application Server для аутентификации. Однако WebSphere Application Server должен быть сконфигурирован на обмен данными с определенным типом реестра.
Изменение пароля служб Member Services
Если выполняется изменение пароля базы данных или LDAP-каталога после установки, то также необходимо изменить пароль Member Services, чтобы с его применением можно было продолжать осуществлять доступ к пользовательскому реестру. Должен быть сгенерирован зашифрованный пароль, который призван заменить зашифрованные пароли.
Конфигурирование служб Member Services
Во время установки Portal Server генерирует параметры конфигурации для служб Member Services и сохраняет их в следующем XML-файле:
<was_root>/lib/app/xml/wms.xml
Можно вручную отредактировать этот файл, изменив первоначальные параметры конфигурации.
Хранилище Portal Server содержит один или два источника данных: автономную базу данных или сочетание базы данных и сервера каталога. Этот сервер каталога может быть доступным только через CustomRegistry. Конфигурация источников данных содержится в следующем XML-файле:
<was_root>/lib/app/xml/wms.xml
Сопоставление атрибутов профиля пользователя объектным классам LDAP определено в следующем XML-файле:
<wp_root>/wms/xml/attributeMap.xml
Эти файлы определяют имена различных хранилищ данных, их классы реализации и постановку атрибутов в пользовательском объекте в соответствие атрибутам в хранилище. По умолчанию сопоставление LDAP-каталогу основана на схеме inetOrgPerson, поддерживаемой большинством LDAP-каталогов.
Сведения о записях в файле конфигурации wms.xml для служб Member Services см. в документации WebSphere Portal Server. Обратите внимание на то, что весь раздел <DIRECTORY.../> принимается во внимание, только если службы Member Services настроены на использование каталога.
Сопоставление атрибутов LDAP
Службы Member Services осуществляют постановку в соответствие имен атрибутов, используемых Java-объектами, представляющими пользователей, атрибутам базового хранилища данных. Если в качестве базового хранилища применяется LDAP-каталог, осуществляется сопоставление атрибутов участников атрибутам LDAP-каталога с использованием следующего XML-файла:
<wp_root>/wms/xml/AttributeMap.xml
Некоторые атрибуты LDAP-каталога не имеют соответствующих атрибутов участников и не используются Java-объектами по умолчанию, тогда как другие атрибуты Java-объекта могут иметь соответствие в базе данных, а не в LDAP-каталоге.
Можно осуществлять добавление или удаление атрибутов в соответствии с требованиями конфигурации либо путем представления дополнительных атрибутов из базового LDAP-хранилища данных, которые в настоящее время не используются, либо путем расширения набора атрибутов таким образом, чтобы он включал новые атрибуты. Представление LDAP-атрибутов выполняется путем добавления новой постановки в соответствие в файл attributeMap.xml. Расширение профиля пользователя для включения новых атрибутов является более сложной операцией: таблицы базы данных, определяющие набор атрибутов, необходимо изменить таким образом, чтобы они включали определения новых атрибутов.